Os ambientes de TI estão em constante mudança, crescendo de forma distribuída, com workloads sendo executados a partir de diferentes nuvens, em diferentes regiões geográficas. Além disso, os usuários também já não estão concentrados em um único lugar. Com essa evolução, manter a segurança dos ambientes de TI também é uma tarefa que se torna cada vez mais complexa e as ferramentas de segurança precisam acompanhar a complexidade das transformações que vêm ocorrendo.
As ameaças digitais evoluíram e se tornam cada vez mais frequentes e sofisticadas. Um relatório da Checkpoint Research aponta que, em 2021, a média de ataques por semana em redes corporativas aumentou 50% em relação a 2020.
Outro desafio para identificar e responder incidentes de segurança é que a maioria das organizações contam com poucos recursos humanos para lidar com inúmeras ferramentas. Segundo uma pesquisa da ESG Global, 60% das empresas usam mais de 25 produtos de segurança, geralmente de diferentes fabricantes. Cada uma dessas ferramentas pode gerar inúmeros alertas por dia e nem sempre esses alertas correspondem a um incidente de segurança real, tornando impossível para que os analistas possam filtrar e analisar tantos alertas em diferentes ferramentas de forma manual.
Tendo em vista essas dificuldades, em 2015, o Gartner cunhou o termo "The SOC visibility Triad", referindo-se às ferramentas essenciais para trazer visibilidade a um ambiente de TI. Essa Triad é composta por SIEM (Security Information and Event Management), NDR (Network Detection and Response) e EDR (Endpoint Detection and Response). No mesmo relatório, o Gartner afirma que, com a crescente sofisticação das ameaças, as organizações precisam de várias fontes de dados para detecção e resposta.
Tanto o "SOC Visibility Triad", do Gartner, quanto o NIST Zero Trust Architecture (800-207) concordam que é necessário aplicar capacidade de análise e correlação avançadas à coleta de logs. Aqui entra o importante papel de um SIEM eficaz, que, integrado às diferentes ferramentas de segurança (mas não limitando-se a elas), é capaz de coletar milhares de eventos de diferentes ferramentas, correlacioná-los e priorizá-los para, assim, identificar ameaças reais, gerar relatórios, e fornecer aos analistas de segurança um painel único para monitorar ameaças de todo o ambiente.
O SIEM é uma ferramenta poderosa, mas, para que seja eficaz, é necessário integrar a ele diversas fontes de dados com informações sobre vulnerabilidades, fontes de inteligência e ameaças, comportamento de usuário/endpoints, entre outros. Com as ferramentas adequadas integradas ao SIEM, e fazendo uso de suas capacidades de correlação, Inteligência Artificial e machine learning, será possível detectar ameaças em tempo real e, inclusive, identificar pequenas alterações na rede, além de comportamentos anormais de usuários e/ou equipamentos, que podem indicar atividades maliciosas em curso.
Um SIEM eficiente também auxiliará na tratativa de incidentes de segurança, pois possuirá ferramentas analíticas que são capazes de realizar investigações automatizadas, traçando uma linha do tempo e permitindo que a empresa identifique com mais facilidade a natureza de um ataque, bem como dispositivos comprometidos e, assim, possa responder mais rapidamente aos incidentes.
Além disso, o SIEM também desempenha um papel importante para lidar com auditorias e conformidade de padrões como PCI-DDS, LGPD, HIPAA, SOX etc., pois, além de identificar incidentes que implicam na quebra de conformidade, ele será capaz de consolidar todos os logs em um único lugar, viabilizando facilmente a emissão de relatórios com foco na norma em questão.
Por fim, é importante lembrar que os impactos de um incidente de segurança não se limitam ao campo tecnológico, portanto, quando o SIEM permite detectar um incidente em estágio inicial, ou mesmo preveni-los, exerce um papel fundamental de proteger não somente a tecnologia, mas também a reputação da marca e a confiança de clientes e parceiros de negócio.
Isabel Ribeiro, arquiteta de soluções de Cibersegurança na NovaRed Brasil.